iso 28000 シリーズ(サプライチェーンセキュリティ関 … · ① iso 28000...
TRANSCRIPT
ISO 28000 シリーズ(サプライチェーンセキュリティ関係国際規格)の概要
本シリーズは、船舶分野(海上輸送)のみならず、生産又はサプライチェーン*1 の全てをも含む物
流全体のテロ対策の一環として、上記に係る企業、団体等の保安レベルの向上に資することを目的と
した保安関係国際規格の体系であり、今後サプライチェーンに関与する多くの事業者に大きな影響を
与えることも予想されます。
ISO/TC 8(国際標準化機構/船舶及び海洋技術専門委員会)は、当初、SOLAS(第 XI-2 章)の ISPSコード(船舶及び港湾施設の保安のための国際コード-2004 年 7 月 1 日発効済)の発効に合わせて、
ISO/PAS*2 20858(海事港湾施設の保安評価と保安計画の開発)を開発・制定しました。
さらに、サプライチェーン全体の保安レベル向上の方策をより具体化するために、2005 年初頭から、
28000 シリーズの整備・策定に着手し、現在次のとおりの規格が公開仕様書(PAS)として発行され、
且つ ISO 規格制定に向けた審議の最終段階にあります。
これらの PAS を含む ISO 規格は強制基準ではなく任意でありますが、国によりましては国内法規へ
の導入なども考えられるため、注意を要します。
1) ISO 28000 – サプライチェーンのためのセキュリティ
マネジメントシステムの仕様
(PAS 発行日:2005-11-15。 ISO 規格発行見込み:2007 年初旬)
2) ISO 28001 – サプライチェーンのためのセキュリティ
マネジメントシステム-サプライチェーンセキュリ
ティ実施のための優良実施要領-評価及び計画
(PAS 発行日:2006-09-01。 ISO 規格発行見込み:2007 年中旬)
3) ISO 28003 – サプライチェーンのためのセキュリティ
マネジメントシステム-サプライチェーンセキュリ
ティマネジメントシステムの監査及び認証を提供す
る機関の要求事項
(PAS 発行日:2006-10-05。ISO 規格発行見込み:2007 年中旬)
4) ISO 28004 – サプライチェーンのためのセキュリティマネジメントシステム-ISO/PAS 28000 の実
施のための指針
(PAS 発行日:2006-09-01。ISO 規格発行見込み:2007 年初旬)
以下、これら ISO 28000 シリーズの概要を紹介します。
*2 PAS: Publicly Available Specification:
国際規格(ISO)の制定の手順に先立って発行される中間仕様書。迅速な開発や発行が優先する場
合に用いられ、制定した時点で、プロセスを進めて ISO 規格とすべきかを速やかに決定します。
*1 サプライチェーン(supply chain):
資源、材料の調達に始まり、製品・サービスの出荷を経て輸送手段(陸上・海上を含む)を通じ
てエンドユーザーにまで及ぶプロセス。
その
他の
規格
ISO
280
01
ISO
208
58
ISO 28000ISO 28004
各種会社事業所等
ISO 28003
ISO/IEC 17011
適合性認証機関(監査・認証)
認定機関(Accreditation body)
図 1 ISO 28000 シリーズの相関関係図
① ISO 28000 Specification for security management systems for the supply chain
ISO 28000 策 定 の 目 的 及 び 必 要 性 ( Purpose and justification)は以下の通りです。
物流監視機能の強化、密輸の撲滅、海賊行為・テロ攻
撃の脅威への対処、そして安全なグルーバルサプライ
チェーン体制の整備を目的としています。
この規格は、ISO 14000(環境マネジメントシステ
ム)をベースに作成され、PDCA(Plan - Do - Check - Act)サイクルによる継続的な管理システムの向上を
規定するもので、2005 年 11 月に PAS として発行され、
現在 ISO 規格発行に向けた最終段階の審議が行なわれ
ています。
② ISO 28001 Security management systems for the supply chain - Best practices for implementing supply chain security - Assessments and plans
ISO 28001 策 定 の 目 的 及 び 必 要 性 ( Purpose and justification)は以下の通りです。
武器や危険な密売品の輸出入を予防するため、この規
格では、製品・サービスの出荷から、輸送手段を通じ
てエンドユーザーに届くまでの情報の流れ及び貨物の
保安レベルを向上させ、国際的なサプライチェーンの
セキュリティ強化を目的としています。
この規格は、米国の C-TPAT、WCO(世界税関機構)
の AEO 基準(認定事業者基準)等の相互承認を進め
るに当たり、統一解釈として国際的な期待が寄せられ
ており、ISO 28000 シリーズの中でも最重要案件とさ
れています。
③ ISO 28003 Security management systems for the supply chain - Requirements for bodies providing audit and certification of supply chain security management systems
ISO 28003 策定の目的及び必要性(Purpose and justification)は以下の通りです。
上述の ISO/PAS 28000 の認証(外部監査[第 2 者及び第 3 者認証])を行なう監査機関の要件を定める
ことを目的としています。
この規格は、ISO/PAS 28000 への適合について判定する第三者機関が満たすべき要件を規定するもの
で、ISO/PAS 28000 の自己監査(内部監査[第 1 者認証])(self audit)を行う際には不要とされていま
す。
④ ISO 28004 Security management systems for the supply chain -- Guidelines for the implementation of ISO/PAS 28000
ISO 28004 策定の目的及び必要性(Purpose and justification)は以下の通りです。
上述の ISO/PAS 28000 の策定を受けて、同 PAS 内容を解釈するに当たっての実施指針を定めること
を目的としています。
この規格は、ISO/PAS 28000 の節(項目)毎に、意図(Intent)、典型的な入力(Typical input)、手
順(Process)、典型的な出力(Typical output)を具体的に規定し、ISO/PAS 28000 適用のためのガイド
ラインとなっています。
以 上
導入と運用
確認
及び
修正
措置
保安
管理方
針
評価・計画作成
見直
し
と継続
的改
善
セキュリティー管理システム
ISO/PAS 28000:2005
図 2 ISO 28000 の PDCA サイクル
脅威シナリオの選択
結果の重大性の決定
セキュリティ対策の評価
追加対策の作成
発生可能性の決定
許容可?
サプライ・チェーンセキュリティ・プロセス
許容可?
脅威シナリオのリストアップ
既存のセキュリティ対策の識別
保安評価の適用範囲の識別
保安評価の実行
保安計画の作成
保安プロセスの実行
保安プロセスの監視・記録
No
Yes評価
継続的改善
NoYes
Yes
No
図 3 サプライチェーン保安のプロセス